تنبيه عاجل: هجوم ضخم على سلسلة التوريد يصيب نظام NPM البيئي
2025-09-16
تم اختراق أكثر من 40 حزمة npm، بما في ذلك حزمة @ctrl/tinycolor الشهيرة (أكثر من مليوني عملية تنزيل أسبوعية)، في هجوم متطور على سلسلة التوريد. استخدم المهاجم آلية ذاتية الانتشار لإصابة الحزم التابعة، مما تسبب في اختراق متسلسل. الحمولة عبارة عن نص برمجي مضغوط بواسطة Webpack يسرق بيانات اعتماد السحابة AWS و GCP و GitHub وغيرها من البيانات الحساسة، ويثبت وجود ثغرة أمان دائمة عبر GitHub Actions. أدى الهجوم إلى سرقة واسعة النطاق لبيانات الاعتماد؛ يلزم اتخاذ إجراء فوري للتحقق من الحزم المتضررة وتدوير جميع بيانات الاعتماد.
التطوير